Deux botnets suivis comme « Ficora » et « Capsaïcine » ont enregistré une activité accrue ciblant les routeurs D-Link qui ont atteint la fin de vie ou exécutent des versions de micrologiciel obsolètes.
La liste des cibles comprend des appareils D-Link populaires utilisés par des particuliers et des organisations tels que DIR-645, DIR-806, GO-RT-AC750 et DIR-845L.
Pour l’accès initial, les deux logiciels malveillants utilisent des exploits connus pour CVE-2015-2051, CVE-2019 – 10891, CVE-2022-37056 et CVE-2024-33112.
Une fois qu’un appareil est compromis, les attaquants exploitent les faiblesses de l’interface de gestion (HNAP) de D-Link et exécutent des commandes malveillantes via une action GetDeviceSettings.
Les botnets peuvent voler des données et exécuter des scripts shell. Les attaquants semblent compromettre les appareils à des fins de déni de service distribué (DDoS).
Ficora a une répartition géographique étendue avec un certain accent sur le Japon et les États-Unis. La capsaïcine semble cibler principalement les appareils des pays d’Asie de l’Est et a augmenté son activité pendant seulement deux jours, à partir du 21 octobre.
Réseau de zombies Ficora
Ficora est une variante plus récente du botnet Mirai, adaptée pour exploiter spécifiquement les failles des appareils D-Link.
Selon les données de télémétrie de Fortinet, le botnet montre un ciblage aléatoire, avec deux poussées notables de son activité en octobre et novembre.
Après avoir obtenu un accès initial sur les périphériques D-Link, Ficora utilise un script shell nommé « multi » pour télécharger et exécuter sa charge utile via plusieurs méthodes telles que wget, curl, ftpget et tftp.
Le logiciel malveillant comprend un composant de force brute intégré avec des informations d’identification codées en dur pour infecter d’autres appareils basés sur Linux, tout en prenant en charge plusieurs architectures matérielles.
En ce qui concerne ses capacités DDoS, il prend en charge l’inondation UDP, l’inondation TCP et l’amplification DNS pour maximiser la puissance de ses attaques.
Botnet Capsaïcine
La capsaïcine est une variante du botnet Kaiten et serait un logiciel malveillant développé par le groupe Keksec, connu pour ‘EnemyBot » et d’autres familles de logiciels malveillants ciblant les appareils Linux.
Fortinet ne l’a observé que lors d’une vague d’attaques entre le 21 et le 22 octobre, ciblant principalement les pays d’Asie de l’Est.
L’infection se produit via un script de téléchargement (“bins.sh”), qui récupère les binaires avec le préfixe « yakuza » pour différentes architectures, y compris arm, mips, sparc et x86.
Le logiciel malveillant recherche activement d’autres charges utiles de botnet actives sur le même hôte et les désactive.
Outre ses capacités DDoS, qui reflètent celles de Ficora, Capsaicin peut également collecter des informations sur l’hôte et les exfiltrer vers le serveur de commande et de contrôle (C2) pour le suivi.
Défense contre les botnets
Une façon de prévenir les infections de logiciels malveillants botnet sur les routeurs et les appareils IoT consiste à s’assurer qu’ils exécutent la dernière version du micrologiciel, qui devrait corriger les vulnérabilités connues.
Si l’appareil a atteint la fin de vie et ne reçoit plus de mises à jour de sécurité, il doit être remplacé par un nouveau modèle.
En règle générale, vous devez remplacer les informations d’identification d’administrateur par défaut par des mots de passe uniques et forts et désactiver les interfaces d’accès à distance si cela n’est pas nécessaire.